Specjalista / Specjalistka ds. Testów Penetracyjnych (Freelancer/ka)

Infinity Group to zespół ponad 100 ekspertów, którzy od 20 lat napędzają cyfrową transformację największych światowych marek. Specjalizujemy się w dostarczaniu zaawansowanych rozwiązań z obszaru CMS/DXP (Sitecore, Kentico), systemów eCommerce oraz dedykowanych aplikacji biznesowych i chmurowych (Azure).

• Doświadczenie praktyczne: minimum 2–3 lata dla poziomu Mid lub 5+ lat dla poziomu Senior w obszarze testów penetracyjnych.
• Samodzielność w prowadzeniu badań i dochodzeniu technicznym.
• Biegłość w narzędziach: m.in. Burp Suite, Metasploit, Nmap, Nessus/OpenVAS, Wireshark, Kali Linux.
• Wiedza techniczna: bardzo dobra znajomość systemów Windows i Linux, protokołów sieciowych (m.in. HTTP/S, DNS, SMB, LDAP) oraz technologii webowych (m.in. HTML, JS, SQL).
• Umiejętności programistyczne: znajomość języków skryptowych (np. Python, Bash, PowerShell) w stopniu pozwalającym na automatyzację zadań i analizę kodu.
• Certyfikaty (wymagane): Certified Ethical Hacker (CEH) lub PenTest+.
• Certyfikaty (mile widziane): OSCP, GPEN, CPSA lub inne specjalistyczne z obszaru AD czy aplikacji webowych.
• Znajomość języka polskiego na poziomie C1/ poziomie ojczystym.
• Znajomość języka angielskiego na poziomie umożliwiającym swobodne czytanie i rozumienie dokumentacji technicznej oraz komunikację w środowisku projektowym (preferowany poziom ok. B2).
• Kompetencje miękkie: analityczne myślenie, dbałość o etykę i poufność danych oraz umiejętność jasnego raportowania wyników.

• Realizacja testów penetracyjnych w modelach black-box, grey-box oraz white-box (infrastruktura, sieci, aplikacje webowe i mobilne).
• Przeprowadzanie prób penetracji zewnętrznych i wewnętrznych oraz symulacja realistycznych scenariuszy ataku (np. eskalacja uprawnień, ruch lateralny).
• Symulacja realistycznych scenariuszy ataków, od analizy usług i protokołów (HTTP/S, SMB, LDAP), po próby obejścia zabezpieczeń.
• Analiza konfiguracji zabezpieczeń, architektury sieciowej oraz mechanizmów zarządzania tożsamością (IAM).
• Po powyższym opracowywanie szczegółowych raportów zawierających opis podatności, ocenę ryzyka oraz konkretne rekomendacje naprawcze.
• Konsultacje techniczne z klientami podczas planowania prac oraz omawiania wyników audytu.
• Opcjonalnie: udział w testach socjotechnicznych (np. phishing) oraz analizach ryzyka.